主页-信息公开-政策法规-本省法律法规

广东省计算机信息系统安全保护管理规定实施细则（试行）

发布时间：2006-06-08   来源：平台管理

第一章  总则

    第一条  为了保护计算机信息系统的安全，促进信息化建设的健康发展，根据《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》和《广东省计算机信息系统安全保护管理规定》，结合本省实际，制定本细则。

    第二条  本省行政区域内计算机信息系统的安全保护，适用本细则。

    军队的计算机信息系统安全保护工作，按照军队的有关法规执行。

    第三条  县级以上人民政府公安机关公共信息网络安全监察部门负责主管本行政区域内的计算机信息系统安全保护工作。

第二章  安全监督

    第四条  公安机关公共信息网络安全监察部门对计算机信息系统安全保护工作行使下列职责：

    （一）监督、检查、指导计算机信息系统安全保护工作；

    （二）组织实施计算机信息系统安全评估、审验；

    （三）查处计算机违法犯罪案件；

    （四）组织处置重大计算机信息系统安全事故和事件；

    （五）负责计算机病毒和其他有害数据防治管理工作；

    （六）对计算机信息系统安全服务和安全专用产品实施管理；

    （七）负责计算机信息系统安全培训管理工作；

    （八）法律、法规和规章规定的其他职责。

    第五条  公安机关公共信息网络安全监察部门对重点安全保护单位计算机信息系统的安全检查，每年不应少于一次。   

    第六条  公安机关公共信息网络安全监察部门采取24小时内暂时停机、暂停联网、备份数据等紧急措施须经县级以上公安机关批准。

    第七条  公安机关公共信息网络安全监察部门与所在地安全服务机构、互联网运营单位和其他计算机信息系统使用单位应当建立联防机制，依法及时查处通过计算机信息系统进行的违法犯罪行为，组织处置重大突发事件。

第三章  安全保护责任

    第八条  单位和个人应当对其所有、使用和管理的计算机信息系统承担相关的安全保护责任。

    提供接入服务和信息服务以及主机托管、虚拟主机、网站和网页信息维护等其他服务的单位应当和用户在合同中明确双方的计算机信息系统安全保护责任。提供服务的单位应当承担与其提供服务直接相关的安全保护义务。

    第九条  网吧、社区、学校、图书馆、宾馆等提供上网服务的场所和互联网运营单位应当落实相应的安全措施，安装已取得《计算机信息系统安全专用产品销售许可证》的安全管理系统。

    第十条  计算机信息系统使用单位和个人为了保护计算机信息系统的安全，可以与安全服务机构明确服务项目和要求，建立相对稳定的服务关系。

第四章  安全专用产品

     第十一条  计算机信息系统安全专用产品生产单位在其产品进入本省市场销售前，应当取得公安部颁发的《计算机信息系统安全专用产品销售许可证》，并报省公安厅公共信息网络安全监察部门备案。

     第十二条  本省安全专用产品生产单位应当在领取营业执照后30日内持下列资料到省公安厅公共信息网络安全监察部门备案。

    （一）单位简况；

    （二）营业执照复印件；

    （三）安全专用产品类型、功能等情况；

    （四）主要技术人员资格证书复印件。

     第十三条  销售信息网络安全检测产品的单位应当在领取营业执照后30日内向地级以上市公安机关公共信息网络安全监察部门申请备案，填写《广东省信息网络安全检测产品销售备案表》，并提交如下资料：

    （一）单位简况；

    （二）营业执照复印件；

    （三）信息网络安全检测产品销售和售后服务管理制度；

    （四）主要技术人员资格证书和销售人员有效证件复印件。

    第十四条  信息网络安全检测产品只限于单位购买使用。购买信息网络安全检测产品的单位应当指定专人管理和使用，不得出租、出借、转让、赠送，不得擅自用于检测他人计算机信息系统。

    用户购买信息网络安全检测产品，应当持单位的证明文件到所在地地级以上市公安机关公共信息网络安全监察部门办理备案手续，公安机关应当在15日内予以办理，发给《信息网络安全检测产品购买备案表》；不予办理的，应当书面说明理由。

    用户应当凭《信息网络安全检测产品购买备案表》购买信息网络安全检测产品。投入使用后，应当在10日内将本单位的《用户IP地址配置备案表》报送所在地地级以上市公安机关公共信息网络安全监察部门备案。

    第十五条  信息网络安全检测产品销售单位应当查验用户的《购买信息网络安全检测产品备案表》后方可销售。

    销售信息网络安全检测产品的单位，应当负责产品的使用授权和维护、更新。 

第五章   安全服务机构

     第十六条  安全服务资质实行等级管理，分一、二、三、四级。各等级所对应的承担工程的资格如下：　　

    （一）一级：可承担所有计算机信息系统安全设计、建设、检测；

    （二）二级：可独立承担第一级、第二级、第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测，合作承担第五级安全保护等级或安全投资总额为300万元以上的计算机信息系统安全设计、建设、检测；

    （三）三级：可独立承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设、检测，合作承担第三级、第四级安全保护等级且安全投资总额为300万元以下的计算机信息系统安全设计、建设、检测；

    （四）四级：可独立承担第一级、第二级安全保护等级且安全投资总额为50万元以下的计算机信息系统安全设计、建设，合作承担第一级、第二级安全保护等级且安全投资总额为150万元以下的计算机信息系统安全设计、建设。

    第十七条  各安全服务资质等级条件如下：

    一级资质

    （一）具有相应经营范围的营业执照。

    （二）注册资本1200万元以上，近3年的财务状况良好。

    （三）近3年完成计算机信息系统安全服务项目总值3000万元以上，并承担过至少1项450万元以上或至少4项150万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30％以上（即不低于900万元）；工程按合同要求质量合格，已通过验收并投入实际应用。  

    （四）具有计算机安全或相关专业资格证书的专业技术人员不少于50人，其中大学本科以上学历的人员不少于40人。

    （五）安全服务工作的管理人员应当具有5年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于5年。

    （六）具有较强的综合实力，有先进、完整的软件及系统开发环境和设备，具有较强的技术开发能力。

    （七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制，并能不断改进。

    （八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。

    （九）竣工项目均通过验收。

    （十）无触犯计算机信息系统安全保护等有关法律法规的行为。

   二级资质：

   （一）具有相应经营范围的营业执照。

   （二）注册资本500万元以上，近3年的财务状况良好。

   （三）近3年完成计算机信息系统安全服务项目总值1500万元以上，并承担过至少1项225万元以上或至少3项120万元以上的项目；所完成的安全服务项目中应具有自主开发的安全产品；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30％以上（即不低于450万元）；工程按合同要求质量合格，已通过验收并投入实际应用。  

    （四）具有计算机安全或相关专业资格证书的专业技术人员不少于40人，其中大学本科以上学历的人员不少于30人。

    （五）安全服务工作的管理人员应当具有4年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于4年。

    （六）具有先进、完整的软件及系统开发环境和设备，有较强的技术开发能力。

    （七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理和量化控制。

    （八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。

    （九）竣工项目均通过验收。

    （十）无触犯计算机信息系统安全保护等有关法律法规的行为。

    三级资质：

    （一）具有相应经营范围的营业执照。

    （二）注册资本100万元以上，近3年的财务状况良好。

    （三）近3年完成计算机信息系统安全服务项目总值600万元以上；服务费用（含系统设计费、软件开发费、系统集成费和技术服务费）应占工程项目总值的30％以上（即不低于180万元）；工程按合同要求质量合格，已通过验收并投入实际应用。  

    （四）具有计算机安全或相关专业资格证书的专业技术人员不少于20人，其中大学本科以上学历的人员不少于15人。

    （五）安全服务工作的管理人员应当具有3年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于3年。

    （六）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力。

    （七）具有完善的组织管理制度、质量保证体系和客户服务体系，实行工程标准化管理。

    （八）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。

    （九）竣工项目均通过验收。

    （十）无触犯计算机信息系统安全保护等有关法律法规的行为。   

　  四级资质：

    （一）具有相应经营范围的营业执照。

    （二）注册资本30万元以上，近3年的财务状况良好。

    （三）具有计算机安全或相关专业资格证书的专业技术人员不少于15人。

    （四）安全服务工作的管理人员应当具有2年以上从事计算机信息系统安全技术领域企业管理工作经历，技术负责人已获得计算机信息系统安全技术相关专业的高级职称，从事计算机信息系统安全集成工作不少于2年。

    （五）具有与所承担项目相适应的软件及系统开发环境和设备，具有一定的技术开发能力。

    （六）具有较为完善的组织管理制度、质量保证体系和客户服务体系。

    （七）具有系统的对员工进行新知识、新技术培训的计划，并能有效地组织实施。

    （八）竣工项目均通过验收。

    （九）无触犯计算机信息系统安全保护等有关法律法规的行为。

    第十八条  申请安全服务资质，应当持下列资料向地级以上市公安机关公共信息网络安全监察部门提出申请：

    （一）申请书；

    （二）营业执照复印件；

    （三）管理人员和专业技术人员的身份证明、学历证明和计算机安全培训合格证书；

    （四）技术装备情况及组织管理制度报告。

    地级以上市公安机关公共信息网络安全监察部门应当自接到申请材料之日起15日内对申请材料进行初审。初审合格的，报送省公安厅公共信息网络安全监察部门核准；初审不合格的，退回申请并说明理由。

    省公安厅公共信息网络安全监察部门应当自接到初审材料之日起15日内进行审查，符合条件的，核发资质证书。不符合条件的，作出不予核准的决定并说明理由。

    持国家工商行政管理总局或省工商行政管理局核发的营业执照以及申请一级安全服务资质的机构，直接向省公安厅公共信息网络安全监察部门提出申请，省公安厅公共信息网络安全监察部门应当在30日内作出核准意见。

    第十九条  从事计算机信息系统安全检测的安全服务机构应当具有三级以上安全服务资质。

    承担重点安全保护单位计算机信息系统和计算机机房使用前安全检测的安全服务机构由地级以上市公安机关公共信息网络安全监察部门实行总量控制，择优授权，应具备下列条件：

    （一）具有三级以上安全服务资质；

    （二）中国公民或者组织持有的股权或者股份不少于51%；

    （三）具有提供长期服务的能力和良好信誉；

    （四）具有自主开发的信息网络安全检测产品。

    辖区内无符合条件的安全服务机构的，由地级以上市公安机关公共信息网络安全监察部门委托省内符合条件的安全服务机构承担。

[1][2]